Dispositivos Zyxel afectados por exploits activos dirigidos a la vulnerabilidad CVE-2023-28771
Una grave vulnerabilidad de seguridad, identificada como CVE-2023-28771 , afecta a los dispositivos de red Zyxel. Los investigadores de seguridad de GreyNoise detectaron un aumento repentino y drástico de ataques el 16 de junio, y un esfuerzo concentrado de los atacantes para explotar esta vulnerabilidad.
La vulnerabilidad permite la ejecución remota de código, lo que significa que los atacantes pueden ejecutar sus propios programas en dispositivos vulnerables a distancia. Esta vulnerabilidad se encuentra en la forma en que los dispositivos Zyxel gestionan mensajes específicos de internet, llamados paquetes de Intercambio de Claves de Internet (IKE), que llegan a través del puerto UDP 500.
Si bien los ataques dirigidos a esta vulnerabilidad de Zyxel habían sido mínimos, el 16 de junio se produjo un aumento significativo de actividad. GreyNoise registró 244 direcciones de internet diferentes que intentaron explotar el problema en un solo día.
Estos ataques están dirigidos a dispositivos en varios países, siendo los siguientes los más específicos:
- India
- España
- Alemania
- Estados Unidos
- Reino Unido
Curiosamente, una revisión de estas 244 direcciones atacantes mostró que no habían estado involucradas en ninguna otra actividad de red sospechosa en las dos semanas previas a este estallido repentino.
Una investigación sobre las direcciones de internet atacantes reveló que todas estaban registradas bajo la infraestructura de Verizon Business y parecían provenir de Estados Unidos. Sin embargo, dado que los ataques utilizan el puerto UDP 500, que permite la suplantación de identidad (falsificación de la dirección del remitente), la verdadera fuente podría estar oculta, señalaron los investigadores de GreyNoise en una publicación de blog compartida con Hackread.com.
Un análisis más detallado de GreyNoise, con el apoyo de comprobaciones de VirusTotal , encontró indicios de que estos ataques podrían estar vinculados a variantes de la botnet Mirai, un tipo de software malicioso que se apodera de los dispositivos.
En respuesta a estas amenazas activas, los expertos en seguridad instan a tomar medidas inmediatas. Se recomienda bloquear las 244 direcciones IP maliciosas identificadas y verificar si algún dispositivo Zyxel conectado a internet cuenta con los parches de seguridad necesarios para CVE-2023-28771 .
Los propietarios de dispositivos también deben estar atentos a cualquier actividad inusual tras un intento de explotación, ya que esto podría provocar una mayor vulnerabilidad o que el dispositivo se incorpore a una botnet. Finalmente, se recomienda limitar la exposición innecesaria del puerto IKE/UDP 500 mediante la aplicación de filtros de red.
Es importante destacar que los dispositivos Zyxel han enfrentado problemas de seguridad en el pasado. Por ejemplo, Hackread.com informó en junio de 2024 que los dispositivos NAS Zyxel eran blanco de una botnet similar a Mirai que explotaba una vulnerabilidad reciente diferente (CVE-2024-29973), lo que destaca un patrón recurrente de problemas en los productos de la compañía.
Esto se añadió a la lista de vulnerabilidades explotadas conocidas de la CISA el 31 de mayo de 2023, lo que exige que las agencias lo resuelvan antes del 21 de junio de ese mismo año. La actividad observada parece ser la actividad de la botnet Mirai, declaró Martin Jartelius , CISO de la empresa de ciberseguridad Outpost24.
“Como la vulnerabilidad ya había sido atacada extensamente anteriormente, para que alguien fuera víctima ahora, habría tenido que obtener un dispositivo vulnerable, implementarlo sin actualizaciones y exponerlo a Internet, incluso si se sabía que se encontraba en un estado vulnerable”, explicó Martin.
Casi se diría que la cadena de incompetencia necesaria para ser victimizada en este momento es impresionante, pero claro, puede ocurrir. Sin embargo, esta no es la vulnerabilidad de la que todos deberíamos preocuparnos hoy. De hecho, si te preocupara, la habrías solucionado hace años.
HackRead
